Pelanggaran data di Bank Aliansi Barat mempengaruhi 22.000 orang

Memperbarui: Kisah ini diedit untuk memasukkan pernyataan dari Aliansi Barat.

Bank Alliance Barat baru -baru ini mengungkapkan bahwa mereka menderita pelanggaran data yang tidak diketahui selama tiga bulan dan mempengaruhi hampir 22.000 orang.

Pelanggaran terjadi dari 12 Oktober hingga 24 Oktober tahun lalu, dan bank menemukannya pada 27 Januari, menurut surat yang dikirim bank kepada para korban. Jaksa Agung Maine menyampaikan pengungkapan Itu diterima dari Aliansi Barat, termasuk surat dan jumlah korban.

Aliansi Barat yang berbasis di Phoenix mengatakan kepada para korban bahwa informasi yang terlibat dalam pelanggaran data termasuk nama dan nomor jaminan sosial mereka. File curian juga termasuk tanggal lahir, nomor rekening keuangan, lisensi pengemudi, nomor identifikasi pajak dan paspor.

Aliansi Barat mengatakan aktor ancaman yang melakukan pelanggaran mengeksploitasi kerentanan dalam perangkat lunak transfer file aman vendor ketiga, yang digunakan oleh bank dan “banyak organisasi lain,” menurut surat dari bank.

Aliansi Barat mengatakan kepada bankir Amerika bahwa mereka sedang menyelidiki sifat dan tingkat akses yang tidak sah dan mulai memberi tahu pelanggan yang berpotensi melibatkan.

“Belum ada dampak material terhadap operasi bisnis atau keuangan perusahaan, dan kami meninjau kebijakan yang ada dan menerapkan perlindungan tambahan untuk lebih mengamankan informasi dalam sistem kami,” kata bank dalam sebuah pernyataan.

Eksploitasi dalam perangkat lunak transfer file relatif jarang tetapi sangat merusak. Kerentanan terbaru, dan yang paling dekat dengan pelanggaran Aliansi Barat, adalah dalam tiga produk transfer file dari perusahaan perangkat lunak Cleo.

Aktor ancaman mengeksploitasi kerentanan dalam perangkat lunak CLEO untuk mencuri data mulai bulan Oktober, Menurut Arctic Wolfsebuah perusahaan riset cybersecurity yang meneliti masalah ini. Perusahaan lain, Huntress, dibuat pengungkapan publik pertama Tentang itu pada 9 Desember, sehari sebelum Arctic Wolf melakukannya.

Jika kerentanan yang digunakan para penyerang terhadap Aliansi Barat adalah dalam produk atau layanan CLEO, itu akan menjadikan bank salah satu target paling awal oleh aktor ancaman yang mengeksploitasi kerentanan.

Bank mengatakan sebuah pihak yang tidak sah mengakses file yang dilanggar dari 12 Oktober hingga 24 Oktober. Arctic Wolf mengatakan aktivitas jahat sebagai bagian dari kampanye melawan Cleo dimulai pada awal 19 Oktober, dengan peningkatan tajam pada bulan Desember.

Juga, jika pelanggaran aliansi Barat adalah hasil dari kerentanan CLEO, itu berarti butuh bank sekitar satu setengah bulan untuk menemukan pelanggaran, dimulai ketika Huntress mengungkapkan kerentanan, atau tiga bulan mulai dari waktu ketika para aktor ancaman mengeksploitasi kerentanan.

Jika kerentanan yang membuat Aliansi Barat berada dalam produk transfer file yang berbeda, salah satu penjelasan yang mungkin adalah bahwa penyerang membutuhkan waktu lama – setidaknya satu tahun – untuk menggunakan kerentanan yang diketahui terhadap bank, dan bahwa bank meninggalkan kerentanan yang diketahui tidak ditandingi untuk periode waktu yang sama.

Kandidat yang paling mungkin dalam kasus ini adalah MOVET, sebuah produk dari perangkat lunak kemajuan; Perusahaan itu mengungkapkan kerentanan dalam produknya pada Juni 2023. Pada bulan Agustus, serikat kredit karyawan Texas Dow mengungkapkan pelanggaran data yang disebabkan oleh kerentanan ini; Butuh lebih dari setahun bagi credit union untuk menemukannya.

Aliansi Barat, seperti banyak perusahaan yang menderita pelanggaran data, juga membutuhkan waktu lebih lama untuk mengungkapkan pelanggaran daripada yang biasanya diizinkan oleh undang -undang negara. Meskipun tidak semua negara menetapkan garis waktu tertentu untuk seberapa cepat perusahaan harus mengungkapkan pelanggaran data, mereka yang memiliki jadwal biasanya menyediakan 30 hingga 45 hari, mulai ketika perusahaan menemukan pelanggaran tersebut. Misalnya, Maine menyediakan 30 hari, dan Arizona menyediakan 45. Aliansi Barat membutuhkan waktu 57 hari.

Pengecualian biasanya dibuat untuk kasus -kasus di mana penegakan hukum telah meminta perusahaan tidak melaporkan informasi secara publik, karena ini dapat mengurangi risiko penyerang yang menutupi jejak mereka. Memang, Maine dan Airzona memberikan pengecualian seperti itu, dan Aliansi Barat mengatakan kepada pelanggan bahwa bank telah memberi tahu penegakan hukum atas insiden tersebut.